Last Updated on 2024-05-17 23:35 by admin
CISOとその企業は、SECの開示ルールに適合することに苦労している。SECが定めた4日間の期限内に侵害の重大性を判断できない企業が多い。公開企業は、サプライヤーの侵害に対してもインシデント対応プロセスを適用することが求められている。CISOは侵害の重大性を判断する責任を負い、個人的なリスクを感じている。企業は、重大な侵害をSECに通知しない場合、数百万ドルの罰金を受ける可能性がある。
大企業は開示委員会を持ち、サイバーセキュリティのインシデントも対象に含める必要がある。CISOはテーブルトップ演習を使用して重大性を判断するプロセスを作成できる。小規模企業は文書化されたプロセスを作成し、必要な情報を提供する必要がある。小規模企業やサプライヤーは規制違反の可能性があり、公開企業の懸念の対象となっている。
CISOは重大性の判断に責任を負うが、意思決定の権限や予算がないことが多い。サイバーセキュリティのインシデント対応における法的なリスクに直面している。CISOはサイバーセキュリティ業界において「先駆け」となっており、将来的には交代可能な存在となる可能性がある。
【ニュース解説】
アメリカ証券取引委員会(SEC)が定めたサイバーセキュリティリスク管理およびインシデント開示に関する新規則が、企業とその情報セキュリティ責任者(CISO)に大きな影響を与えています。この規則は、サイバーセキュリティのインシデントが発生した場合、公開企業がその事実を4日以内にSECに報告することを義務付けています。しかし、多くの企業がこの短期間内にインシデントの重大性を判断し、適切な報告を行うことに苦労しています。
この新規則の導入により、公開企業はサプライヤーや第三者サービスプロバイダーとの契約においても、インシデント対応プロセスに関する新たな条項を設けるようになりました。これにより、サプライヤーがセキュリティ侵害を経験した場合、公開企業がインシデント対応を主導する権利を持つことが増えています。この動きは、特に小規模なサービスプロバイダーにとって、大きな負担とリスクをもたらしています。
CISOは、インシデントの重大性を判断し、適切な報告を行う責任を負いますが、多くの場合、そのための権限や予算が不足しています。この状況は、CISOにとって個人的なリスクを高めるだけでなく、サイバーセキュリティ業界全体にとっても懸念される動向です。CISOが「使い捨て」のように扱われ、頻繁に交代することは、企業のサイバーセキュリティ体制の安定性や持続可能性に悪影響を及ぼす可能性があります。
大企業はすでに、様々なリスクを評価するための開示委員会を設置しており、サイバーセキュリティのインシデントもその審査対象に含めています。これにより、IT、サイバーセキュリティ、法務、ビジネス部門が連携し、インシデントの重大性を迅速に判断する体制を整えています。一方、小規模企業やサプライヤーは、このような体制を構築することが困難であり、規制違反のリスクが高まっています。
この新規則の導入は、企業がサイバーセキュリティのインシデントにどのように対応し、報告するかに大きな変化をもたらしています。企業は、インシデント対応プロセスの見直しや、CISOの権限とリソースの強化、サプライヤーとの契約条件の調整など、多方面での対策を迫られています。また、この規則は、サイバーセキュリティの透明性を高め、投資家や利害関係者を保護することを目的としていますが、その達成には企業のサイバーセキュリティ体制の強化と、CISOの役割と責任の明確化が不可欠です。
from CISOs and Their Companies Struggle to Comply With SEC Disclosure Rules.